Güvenlik bilgileri ve olay yönetimi veya SIEM, yaklaşık 17 yıl önce tanıtıldı. Yeni nesil bir SIEM’in şimdi ortaya çıkması mantıklı, yoksa çoktan gecikmiş olabilir. Yaklaşık yirmi yıldır yürürlükte olan sistemde daha güçlü bir yükseltmeye ihtiyaç var.
Bazıları, geleneksel güvenlik bilgilerinin ve olay yönetiminin ölmekte olduğunu ve kuruluşların isteseler de istemeseler de yeni nesil SIEM’e geçmek zorunda kalacaklarını söylüyor.
Bulut tabanlı ve analitik odaklı yeni bir sistemi benimsemeye ihtiyaç var. Bu yeni sistemin de sonuç odaklı olması bekleniyor. Tarihli bir çerçeve ve aşırı katı prosedürlerle kısıtlanmamıştır.
Ancak, kuruluşların güvenlik duruşlarını geliştirirken başvurabilecekleri tek yükseltme, yeni nesil SIEM değildir. Open XDR adlı ilgili bir çözüm, farklı bir yaklaşım ve çerçeve aracılığıyla karşılaştırılabilir sonuçlar sunar.
Aşağıdaki tartışmalarda yeni nesil SIEM ve Open XDR hakkında daha fazla bilgi edinin.
Yeni Nesil SIEM’e Yakından Bakış
Yeni nesil SIEM için kesin veya evrensel olarak kabul edilmiş bir tanım yoktur. Bununla birlikte, doğasını belirlemek için iyi bir başlangıç noktası, Gartner’ın tanımında yatmaktadır: “güvenlik olaylarının ve çok çeşitli diğer olay ve bağlamsal veri kaynaklarının toplanması ve analizi yoluyla tehdit algılamayı, uyumluluğu ve güvenlik olay yönetimini desteklemek için tasarlanmış bir teknoloji. ”
Yeni nesil SIEM kavramına uygulandığında, paradigma değiştiren değişiklikler olmadan iyileştirmelerin getirilmesiyle tanım büyük ölçüde aynı kalır.
Yeni nesil SIEM, temel SIEM’den daha gelişmiştir ancak aynı çerçeveye ve hedeflere sahiptir. Farklı siber güvenlik yaklaşımlarını ve ilkelerini kullanan yeni bir çözüm değildir.
Büyük veri teknolojilerini ve veri modelleme eklentilerini kullanabilir, gelişmiş iş akışları ve kullanıcı arayüzleri/deneyimleri sunabilir ve kullanıcı ve varlık davranış analizi (UEBA) ve SOAR ile açık entegrasyon gibi ek özellikler sağlayabilir. Ancak süreci ve hedefleri çoğunlukla aynıdır.
Yeni nesil SIEM’in yeni yetenekleri satıcıya göre değişiklik gösterebilir ancak aşağıdaki ayırt edici özellikler genellikle mevcuttur.
Bulutta yerel operasyon – Modern BT altyapısı giderek daha fazla bulut bilişime dayandığından, yeni nesil SIEM’in yalnızca bulut üzerinde yerel olarak çalışması ve bulut tabanlı sistemlerle uyumlu olması mantıklıdır.
Bu, uygulamaların, cihazların, sunucuların ve uç noktaların birleşik izlenmesini sağlar. Farklı kaynaklarda günlük toplamayı daha verimli hale getirir.
Gelişmiş tehdit algılama ve olay önceliklendirme – Geleneksel SIEM’in aksine, yeni nesil yineleme, tehditleri ve saldırıları belirleme ve tahmin etme yeteneğine sahiptir. Şüpheli etkinlikleri, olağandışı davranışları ve kötü amaçlı etkinliklerle örtüşen kalıpları keşfedebilir.
Yanlış pozitiflerin daha iyi işlenmesi – Yanlış pozitif uyarılar tamamen önlenemez. Ancak, geleneksel SIEM’in çok fazla yanlış uyarıya sahip olduğu açıktır. Yeni nesil SIEM, algılama doğruluğunu iyileştirmek için yapay zeka ve olay korelasyon mekanizmalarını kullanır.
Uygun maliyetli veri işleme – Eski SIEM genellikle hacme dayalı veri değerlendirmesiyle ilişkilendirilir. Bu nedenle, ne kadar çok veri toplanır ve analiz edilirse, SIEM işlem maliyeti o kadar yüksek olur. Yeni nesil SIEM, sabit fiyatlandırma veri değerlendirme modeliyle bu sorunu çözer, Veri alma maliyetini önemli ölçüde azaltır.
Daha iyi entegrasyon – Yeni nesil SIEM, SOAR (güvenlik düzenleme otomasyonu ve yanıtı), gerçek zamanlı görselleştirme araçları, davranış analitiği ve açık/kamusal, özel ve diğer kaynaklardan gelen tehdit istihbaratı dahil olmak üzere daha fazla güvenlik aracı ve sistemiyle çalışacak şekilde tasarlanmıştır.
Yeni Nesil Bir Alternatif Düşünmek
Yeni nesil SIEM, selefinden önemli bir sıçramayı temsil etse de, mükemmel olmaktan uzaktır. Bazı zayıflıkları var. Birincisi, düşük veri yönetimi verimliliği SIEM’in çerçevesinin doğasında vardır.
Gelişmiş yeni nesil SIEM platformlarının piyasaya sürülmesiyle bu sorunu çözmeye yönelik çabalar olmuştur, ancak veri toplama, depolama, ilişkilendirme ve önceliklendirme için sistematik ve kusursuz bir süreç hâlâ mevcut değildir.
Güvenlik ekipleri, riskleri ortaya çıkarmaya ve uygun şekilde yanıt vermeye çalışırken genellikle büyük miktarda düzensiz güvenlik verisiyle yüzleşmek zorunda kalır.
Öte yandan, SIEM’in güvenlik ekiplerinin daha akıllı değil, daha çok çalışmasını sağlama eğilimine ilişkin endişeler var. SIEM’in çerçevesi, büyük verileri işlemek ve yapay zekadan yararlanmak için optimum koşullar sunmaz.
SIEM ile güvenlik verileri korelasyonu yapmak mümkün olsa da, sürecin verimliliği daha fazla iyileştirme kullanabilir.
Kullanıma hazır veri işleme ve önceliklendirme mekanizmaları sağlayan yeni nesil SIEM çözümlerinin piyasaya sürülmesiyle bu sorunu çözmeye yönelik çabalar olmuştur, ancak bunların etkinliği henüz kanıtlanmamıştır.
Ayrıca, insan tarafından yazılan kurallara veya insan tarafından yönlendirilen yapılandırmalara olan gerekliliğin de gösterdiği gibi, SIEM’de manuel çalışma gerekli olmaya devam etmektedir.
Ayrıca, yeni nesil SIEM entegrasyon geliştirmelerinde bile oldukça seçici olabilir. Kuruluşlar tarafından yaygın olarak kullanılan güvenlik araçlarıyla çalışmasını sağlamanın zorlukları vardır.
Bunun nedeni çoğunlukla farklı sağlayıcılar tarafından kullanılan veri modellerinin karmaşıklığıdır. Bütünleşmenin yollarını bulmak imkansız değil ama sıkıcı olabilir. Ayrıca, entegre araçların yeni sürümleri farklı sağlayıcılar tarafından piyasaya sürüldüğünde sorunlar ortaya çıkıyor ve bu da bireysel olarak ele alınması gereken entegrasyon sorunlarına neden oluyor.
XDR’yi aç
Open eXtended Detection and Response veya Open XDR, yeni nesil SIEM’e bir alternatif olarak kabul edilir, ancak ek olarak da düşünülebilir. SIEM ile benzerlikleri vardır, ancak temel olarak farklı çerçeve ve entegrasyon kolaylığı nedeniyle farklıdır.
Her ikisi de karşılaştırılabilir hedeflere ulaşmaya çalışıyor, ancak yöntemleri aynı değil.
Open XDR, güvenlik tehditlerini hem geleneksel hem de yeni nesil SIEM’in kapsamadığı yol veya yöntemlerle ele almasına izin veren farklı yaklaşımlara sahiptir.
Open XDR çerçevesi, SIEM’den oldukça farklıdır. Özellikle, verileri işleme biçiminin daha etkili ve verimli olduğu düşünülebilir.
Geleneksel SIEM’in yaptığının tam tersi olan bir veri gölünde veya büyük bir veri işleme sisteminde depolanmadan önce verileri normalleştirme ve zenginleştirmeden geçmeye zorlar.
Bu, Open XDR’nin yapay zekanın faydalarını en üst düzeye çıkarmasını sağlar çünkü toplanan ve depolanan güvenlik verileri zaten tutarlı ve mantıklı bir biçimde organize edilmiştir.
Ek olarak, Open XDR, tanıdık bir kullanıcı arabirimi ve kullanıcı deneyimine sahip birleşik bir pano kullanarak farklı güvenlik denetimleri aracılığıyla birden fazla riskin ele alınmasını mümkün kılar.
Ayrıca UEBA, SOAR, NDR, EDR ve diğer çeşitli araçları tek bir platform altında kullanmayı kolaylaştırır.
Sonuç olarak
Yeni nesil SIEM ve Open XDR, kuruluşların siber savunmalarını geliştirirken eninde sonunda tanışmak zorunda kalacakları bazı yeni siber güvenlik teknolojileridir.
Tehditler sürekli ve hızlı bir şekilde gelişir. Güvenlik bilgilerinin ve olay yönetiminin güncellenmiş sürümlerinin ve genişletilmiş algılama ve yanıtın benimsenmesi kaçınılmazdır. Gelecekte, yeni tehditlere karşı koymak için yeni teknolojiler geliştirilecektir.
Ancak bu, kuruluşların tehditlerin evrimine ayak uydurma iddiasında olan yeni siber güvenlik çözümlerini körü körüne üstlenmeleri gerektiği anlamına gelmez. Bir kuruluşun ihtiyaçlarına karşılık gelip gelmediklerini belirlemek için bu yeni çözümleri incelemek de önemlidir.
Sadece yeni nesil bir çözüme yükseltmek yeterli olmayabilir. Alternatif veya tamamlayıcı bir çözüm tarafından sunulabilecek farklı bir yaklaşım gerekli olabilir.